El riesgo OT podría ser un problema de 330 mil millones de dólares: ¿cómo lo solucionamos?

Los líderes empresariales descuidan el riesgo de la tecnología operativa (TO) bajo su propio riesgo. Estos son los sistemas que alimentan algunas de las infraestructuras nacionales (INC) más críticas del Reino Unido, desde centrales nucleares hasta plantas de tratamiento de agua. A diferencia de las amenazas informáticas, los ataques dirigidos a la TO podrían tener un impacto físico directo en la población. Aun así, las juntas directivas de las ICN suelen priorizar otros objetivos empresariales por encima de la ciberseguridad.

Esto podría estar a punto de cambiar con el publicación de un nuevo informe Del especialista en seguridad OT, Dragos. Respaldado por un análisis independiente de la aseguradora Marsh McLennan, este revela que el riesgo financiero anual asociado a los incidentes OT podría alcanzar los 329.5 millones de dólares. La pregunta es: si las juntas directivas finalmente empiezan a escuchar a sus CISO, ¿qué sucederá después?

¿Por qué la TO está en riesgo?

La seguridad de OT no es tan mala en todos los ámbitos. Sin embargo, las fallas comunes incluyen:

• Equipos heredados que tienen una larga vida útil y que a menudo ejecutan software desactualizado, ya sea por problemas de compatibilidad de hardware o porque es difícil desconectarlos para aplicarles parches.
• Enfoques históricos de gestión de riesgos que implicaban aislar los sistemas OT de la internet pública. Estos están fallando ahora, a medida que los sistemas convergen cada vez más con las TI y se dotan de conectividad.
• Prioridades sesgadas que priorizan la disponibilidad y la seguridad sobre la protección

Como resultado, muchos entornos de OT carecen de actualizaciones críticas, utilizan protocolos de comunicación obsoletos e inseguros, y presentan redes planas y sin segmentar. También puede existir una falta de conocimiento de los activos de OT y una autenticación deficiente, como contraseñas estáticas en los endpoints.

Problemas de seguridad como estos fueron notoriamente explotados por actores de amenazas chinos para posicionarse previamente en las redes CNI estadounidenses, con el objetivo de lanzar ataques destructivos en caso de conflicto. Según March McLennan, los sectores más afectados por las brechas de OT durante la última década fueron

• Salud (27%)
• Construcción (27%)
• Fabricación (16%)
• Automatización de edificios: (3%)
• Servicios públicos: (2%)

Lo que dice el informe

Para calcular su cifra de riesgo de OT, considerada la primera vez que el riesgo financiero se mide de esta manera, Marsh McLennan analizó datos de una de las bases de datos de reclamaciones de seguros más grandes del mundo. También analizó datos de terceros independientes, informes de asegurabilidad e informes de recuperación de infracciones, que abarcan el período 2014-2024.

Además del peor escenario posible, con incidentes cibernéticos de OT que resultan en un riesgo financiero de casi 330 172 millones de dólares anuales, el informe señala que los incidentes que resultan en una reclamación por interrupción del negocio podrían generar pérdidas de 70 XNUMX millones de dólares. Curiosamente, gran parte de estas pérdidas provienen de costes indirectos, que a menudo no se contabilizan en el modelado de riesgos. Alrededor del XNUMX % de las infracciones de OT generan estos costes, que provienen de la interrupción operativa y los cierres por precaución.

“Las complejidades de los sistemas OT interconectados a menudo pueden introducir un riesgo agregado creciente en estos entornos”, señala el informe.

 Una preocupación de los altos ejecutivos

Según Dragos, las organizaciones históricamente han tenido dificultades para gestionar el riesgo de OT porque:

• No pudieron cuantificar la exposición financiera vinculada a incidentes específicos
• No pudieron medir la efectividad de los controles de seguridad OT
• Carecían de puntos de referencia independientes que les informaran qué controles eran los más importantes y por qué.

Ahora tienen una mejor perspectiva gracias al informe. Este destaca los siguientes cinco controles como los más eficaces para reducir la probabilidad y la gravedad de las pérdidas financieras derivadas de una vulneración de OT:

• Planes de respuesta a incidentes
• Arquitectura defendible
• Visibilidad y monitorización de la red
• Acceso remoto seguro
• Gestión de vulnerabilidades basada en riesgos

Phil Tonkin, director de tecnología de campo de Dragos, explica que la construcción de una arquitectura defendible debe comenzar con una comprensión de los procesos físicos y los sistemas críticos para la seguridad sobre los que se basan las operaciones industriales.

Una arquitectura defendible en OT debe estar diseñada para resistir ataques dirigidos, interrupciones accidentales y otros fallos. Esto implica aislar las redes de control de los sistemas empresariales, implementar controles de acceso estrictos para la conectividad remota y garantizar la visibilidad de cada activo y vía de comunicación, explica a ISMS.online.

También requiere diseñar sistemas con resiliencia en mente. Esto significa que, incluso si ocurre una brecha, el impacto es contenido y la recuperación puede ser rápida. La arquitectura debe reflejar las realidades operativas de cualquier sistema de control industrial, no solo los modelos teóricos de seguridad informática. Se trata de integrar la confianza en la propia infraestructura.

El siguiente paso

Armados con datos convincentes como los del informe de Dragos, los líderes de seguridad OT tienen una gran oportunidad de iniciar discusiones estratégicas con los altos directivos sobre la mejor manera de mejorar la seguridad operativa.

El siguiente paso es traducir las vulnerabilidades operativas al lenguaje empresarial, mostrando cómo un sistema de control comprometido podría provocar paradas de producción, incidentes de seguridad o exposición regulatoria. Ahora los líderes pueden cuantificar ese riesgo y demostrar cómo controles específicos lo reducen, afirma Tonkin.

Esto les permite promover inversiones específicas, no solo un gasto general en seguridad. Además, facilita una colaboración más significativa entre los equipos de operaciones, finanzas y riesgos. El objetivo es pasar de sistemas de defensa reactivos a una resiliencia proactiva, integrando la seguridad de OT en la postura general de riesgo y el marco de toma de decisiones de la organización.

Las normas de buenas prácticas pueden contribuir a estos esfuerzos, especialmente la ISO 62443, diseñada teniendo en cuenta los sistemas de automatización y control industrial. La clave es garantizar que se apliquen desde una perspectiva de TO, afirma Tonkin.

“Si se adaptan cuidadosamente, estos estándares pueden ayudar a los equipos de OT a establecer un enfoque estructurado para la gestión de riesgos”, concluye.

A menudo, para los equipos de seguridad y la gerencia ha sido difícil vincular estos marcos con resultados mensurables. Pero ahora podemos ver cómo los controles específicos de OT, como la planificación de respuesta a incidentes y la visibilidad de la red, se correlacionan directamente con la reducción del riesgo financiero.